(1)上传文件列目录漏洞,其漏洞文件为Admin_UploadFile.asp,通过修改dir参数的传入即可浏览上级目录或者当前磁盘的文件列表。例如Admin_UploadFile.asp?dir=…/…/…/。 (2)系统默认会保留“Art2008cms”用户,密码为“111111”,默认登录地址为:http://localhost/user/login.asp。 (3)user登录后目录浏览漏洞http://localhost /User/selectupfile.asp?CurrPath=…/…/… (4)修改上传选项,允许上传mdb类型,上传mdb的木马,然后恢复数据库即可获得Webshell。
后台拿webshell方法
1.修改上传选项
在Art2008cms系统中默认过滤了asp、aspx等危险后缀,即使修改了允许管理员上传的文件类型,在实际上传过程中也是被禁止的,因此在“允许管理员上传的文件类型”中增加一个“|mdb”选项,如图1所示,允许mdb数据库文件上传。
2.上传数据库文件
单击“基本设置”-“添加文章”,在文章添加页面中单击“插入FLV视频”,选择一个已经更名为mdb的Webshell上传,如图2所示,选择文件后单击开始上传,上传完毕后会自动显示文件上传后的详细地址“/uploadfile/Media/201106/2011061515303758472.mdb”,记下该地址,留作后用。
3.恢复数据库备份
在art2008cms中单击“基本设置”-“数据恢复”进入恢复数据库页面,如图3所示,要恢复的数据库源目录保持默认,在要恢复的数据库文件名中输入刚才上传的详细地址,注意需要去掉“/”,即填写的文件名为“uploadfile/Media/201106/2011061515303758472.mdb”,单击立即恢复数据库。如果没有什么意外,一般都会恢复成功,恢复成功后会给出提示,如图4所示。
执行立即恢复数据库
4.获取Webshell地址
(1)后台和前台无法正常访问
数据库恢复成功后,由于用来恢复的数据库是Webshell,非真实的数据库文件,因此当数据库恢复成功后,后台管理会保错,导致后台无法管理,网站也无法正常访问,如图5所示。
(2)Webshell
此时输入Webshell的地址,会显示“Directory Listing Denied”,原因是该地址文件中出现了“#”,将“#”换成“%23”即可正常访问,出来熟悉的Webshell登录界面。